Internet用戶通過Web頁面收發Email的形式被稱為WebMail。與使用專用郵件收發程序如OutLookExpress、The_bat相比，WebMail在具備便利優勢的同時，也存在了很大的安全隱患。本文就對這些安全隱患及對策進行討論，我想，無論對于普通WebMail用戶，還是WebMail系統的提供者，都有一定的借鑒意義。

簡 介

無論是國外的Hotmail、YahooMail，還是國內的SinaMail、SohuMail，都使Internet用戶能夠通過Web頁面在世界各地方便地收發Email。但是，未經授權使用WebMail、從WebMail入口收到惡意代碼等惡性案件也在不斷地增加。因此，使用WebMail面臨著安全性挑戰，每個上網單位都應認真考慮這個問題！ 基本上，WebMail的安全隱患及對策主要體現在病毒防御、內容過濾、加密技術、WebMail系統安全構架、建立安全規則等方面。下面分別討論。

病毒防御

在缺乏制約措施的情況下使用WebMail的最嚴重威脅就是可能下載攜帶計算機病毒的電子郵件。為此，需要在用戶端和服務器端協同操作，共同創建一個良好的、分層次的反病毒防御環境。通常，反病毒軟件要安裝在網絡的防火墻、SMTP網關、電子郵件服務器、文件服務器和用戶工作站上。 如果使用專用郵件收發程序，在郵件抵達用戶桌面前，可以首先經過SMTP網關上的反病毒軟件的掃描和檢查。如果發現了病毒，相關電子郵件將被剝離其附件后發送或者干脆刪除此郵件。假設“初審過關”，還不算萬事大吉，郵件服務器上的反病毒軟件將對收到的郵件進行第二次掃描檢測。最后，當用戶真正接收郵件時，客戶機上的反病毒軟件再次執行掃描檢測。呵呵，這過程象不象電影中進入秘密部門前的安檢情景？Email在見到上帝前，得到了最嚴格的審查。 但是，如果使用WebMail，就會繞過SMTP網關以及電子郵件服務器這兩道關卡。這時，解決方法有兩個： 1、依靠用戶PC機上的反病毒軟件及防火墻單兵作戰。維護好一個集中的、分層次的、可自動更新殺毒軟件的反病毒防御體系，確保最后一關上的反病毒軟件更新及時。這是技術層面上的關鍵解決措施。 2、完善病毒防范管理制度，在一個組織中嚴格WebMail的使用限制。比如，只允許PC管理部門的人員使用WebMail，因為他們的技術水平相對較高，遇到病毒感染時會采取正確的措施。

使用電子郵件內容過濾器進行防范 凡是使用電子郵件的用戶，都會經常乃至天天收到來自世界各地的新朋友的甜言蜜語或者小道消息。或者，有些用戶喜歡不斷地制造這些信息，發送給其他人。“來而不往非禮也”嗎！這樣的事件很多。例如，2000年9月，Dow公司解雇了24名因在公司計算機上儲存并發送有關性和暴力圖片的雇員。這些事實表明，未經認可電子郵件的收發是一個組織中遭受的最實質性的威脅之一，在組織中強制安裝電子郵件內容過濾系統非常重要！ 電子郵件內容過濾產品可以解決這個問題。例如， 的郵件提煉（Mail Essentials）產品可檢查進出組織的數據信息，如果發現一個電子郵件包含一個指定的惡意關鍵字，那么這個郵件將被隔離進一步審查。 如果郵件經過SMTP網關，那么可以在其上安裝電子郵件內容過濾產品。如果使用WebMail，那么這個過濾器應對WebMail的使用有所限制。 使用加密技術 加密是保護所有敏感電子郵件的最有效方法，許多專用郵件收發程序都提供了加密手段，例如我一直使用的The_bat!就具有PGP加密手段： 但是如果使用WebMail，通常情況下就沒有這種加密保障了。要實現加密傳輸，就需要在使用WebMail前，使用加密軟件手工對郵件附件進行加密處理。對于普通用戶而言，這是件很麻煩的事，必須首先經過加密系統的培訓。 萬事總有特殊， 是一個提供加密技術的WebMail站點，感興趣者可以前往一試：

增強WebMail提供商的系統安全

根據近幾年安全事故數量統計，WebMail系統提供商的安全問題也值得重視。例如，1999年8月，在Hotmail網站發現了一個安全漏洞，通過它，攻擊者無需口令即可直接訪問用戶帳號。而且，近幾年來，Hotmail網站出現了一連串安全問題，每次事件都對上千個帳號的安全構成了潛在威脅。 因此，WebMail系統提供商必須努力加強其系統的安全鑒定程序。同時，還要盡可能地縮短郵件服務器進行安全檢測的時間間隔，使之看上去在“永不疲倦地工作”。另外，如果郵件服務器中儲存的信息非常緊急，還應著重考慮實施服務器鏡像或熱備份措施。

建立有效的安全規則和制度 要取得良好的效果，單純依靠技術是遠遠不夠的！“技術+管理”才是全面的、有效的根本策略。一個組織的安全規則要描述清晰，易理解、可操作，使普通用戶和高級用戶都能真正地貫徹執行。例如： 1、規定“本公司的工作人員在工作時間不得使用WebMail收發電子郵件，可能的WebMail系統包括Hotmail、Yahoo mail、SinaMail、SohuMail等等”。 2、規定“本公司的工作人員可以每周使用WebMail收發電子郵件不超過1次，除此之外，工作人員在工作時間不得使用WebMail收發電子郵件”。 另外，規則中還應描述違反規則可能造成的后果、如何對用戶使用情況進行監控等情況。

禁止使用WebMail的方案

如果要嚴格禁止內部用戶使用WebMail收發郵件，可以通過修改防火墻或路由器的網絡配置來實現。首先，確定要阻斷的WebMail網站之IP地址。然后，在防火墻或路由器上設置對這些地址進行阻斷。但是請注意，單單設定IP地址信息還不行，因為提供WebMail的網站一般還提供其他的服務，例如Yahoo WebMail還兼有搜索引擎的功能。因此，必須進一步地確定WebMail服務的端口信息。 另外，我們還可以使用因特網過濾和監測軟件來禁止使用WebMail。例如， 的Elron因特網管理器就是這么一款軟件，通過在過濾字典中添加“Yahoo mail”，就可以有效阻斷對Yahoo WebMail的訪問： 除了Elron外，使用因特網監控軟件，如 ，也可以達到限制訪問WebMail站點的目的，所要做的就是在其安全策略中明確禁止訪問站點的細節情況：

結 語

以上討論了在Web上收發電子郵件的安全隱患及防范對策， 我希望普通用戶和管理人員都可以從中學到了更多的防衛手段。安全從來就不是一蹴而就、一勞永逸的事情，它是網絡時代的萬里長征，需要技術、更需要管理，需要我們每一個網絡人的不懈努力。